가상 네트워크 서비스 엔드포인트를 통해 PaaS 서비스에 대한 네트워크 액세스 보호
ERP 시스템용 기존 앱 및 데이터베이스 서버를 VM으로서 Azure로 마이그레이션했습니다. 이제 비용 및 관리 요구 사항을 줄이기 위해 일부 Azure PaaS(Platform as a Service) 서비스의 사용을 고려하고 있습니다. 스토리지 서비스에는 엔지니어링 다이어그램과 같은 특정 대규모 파일 자산이 보관됩니다. 이러한 엔지니어링 다이어그램에는 재산적 가치를 가지는 정보가 있으며 무단 액세스로부터 안전하게 보호해야 합니다. 이러한 파일은 특정 시스템에서만 액세스할 수 있어야 합니다.
이 단원에서는 지원되는 Azure 서비스를 보호하기 위해 가상 네트워크 서비스 엔드포인트를 사용하는 방법을 살펴보겠습니다.
가상 네트워크 서비스 엔드포인트
가상 네트워크 서비스 엔드포인트를 통해 Azure 서비스에 직접 연결하여 Azure에서 개인 주소 공간을 확장합니다. 서비스 엔드포인트를 사용하면 가상 네트워크의 Azure 리소스만 보호할 수 있습니다. 서비스 트래픽은 Azure 백본에서 유지되며 인터넷으로 나가지 않습니다.
기본적으로 Azure 서비스는 모두 직접 인터넷 액세스를 위해 설계되었습니다. Azure SQL Database 및 Azure Storage와 같은 PaaS 서비스를 포함한 모든 Azure 리소스에는 공용 IP 주소가 있습니다. 이 서비스는 인터넷에 공개되므로 잠재적으로 누구나 Azure 서비스에 액세스할 수 있습니다.
서비스 엔드포인트는 특정 PaaS 서비스를 Azure의 개인 주소 공간에 직접 연결할 수 있으므로 동일한 가상 네트워크에 있는 것처럼 작동합니다. PaaS 서비스에 직접 액세스하려면 프라이빗 주소 공간을 사용합니다. 서비스 엔드포인트를 추가해도 공용 엔드포인트가 제거되지 않습니다. 단순히 트래픽이 리디렉션됩니다.
Azure 서비스 엔드포인트는 다음과 같은 다양한 서비스에서 사용할 수 있습니다.
- Azure Storage.
- Azure SQL Database.
- Azure Cosmos DB
- Azure Key Vault
- Azure Service Bus.
- Azure Data Lake.
방화벽에 IP 주소를 추가할 때까지 액세스할 수 없는 SQL Database와 같은 서비스의 경우 여전히 서비스 엔드포인트를 고려해야 합니다. SQL Database에 대한 서비스 엔드포인트를 사용하면 특정 가상 네트워크의 액세스가 제한되어 더 높은 격리를 제공하고 공격 표면을 줄일 수 있습니다.
서비스 엔드포인트의 작동 방식
서비스 엔드포인트를 사용하도록 설정하려면 다음 작업을 수행해야 합니다.
- 서비스에 대한 공용 액세스를 해제합니다.
- 서비스 엔드포인트를 가상 네트워크에 추가합니다.
서비스 엔드포인트를 사용하면 트래픽 흐름을 제한하고 Azure VM이 개인 주소 공간에서 서비스에 직접 액세스할 수 있습니다. 디바이스는 공용 네트워크에서 서비스에 액세스할 수 없습니다. 배포된 VM vNIC에서 유효 경로를 살펴보면 서비스 엔드포인트가 다음 홉 유형으로 표시됩니다.
서비스 엔드포인트를 사용하기 전의 경로 테이블 예제는 다음과 같습니다.
| 원본 | 상태 | 주소 접두사 | 다음 홉 유형 |
|---|---|---|---|
| 기본값 | 활성 | 10.1.1.0/24 | VNet |
| 기본값 | 활성 | 0.0.0.0./0 | 인터넷 |
| 기본값 | Active | 10.0.0.0/8 | 없음 |
| 기본값 | 활성 | 100.64.0.0./10 | 없음 |
| 기본값 | Active | 192.168.0.0/16 | None |
또한 두 개의 서비스 엔드포인트를 가상 네트워크에 추가한 후 경로 테이블 예제는 다음과 같습니다.
| 원본 | 상태 | 주소 접두사 | 다음 홉 유형 |
|---|---|---|---|
| 기본값 | 활성 | 10.1.1.0/24 | VNet |
| 기본값 | 활성 | 0.0.0.0./0 | 인터넷 |
| 기본값 | Active | 10.0.0.0/8 | 없음 |
| 기본값 | 활성 | 100.64.0.0./10 | 없음 |
| 기본값 | Active | 192.168.0.0/16 | 없음 |
| 기본값 | 활성 | 20.38.106.0/23, 10 이상 | VirtualNetworkServiceEndpoint |
| 기본값 | 활성 | 20.150.2.0/23, 9 이상 | VirtualNetworkServiceEndpoint |
이제 서비스에 대한 모든 트래픽이 VirtualNetworkServiceEndpoint로 라우팅되고 Azure 내부에서 유지됩니다.
서비스 엔드포인트 및 하이브리드 네트워크
가상 네트워크 서비스 엔드포인트를 사용하여 보호한 서비스 리소스는 기본적으로 온-프레미스 네트워크에서 액세스할 수 없습니다. 온-프레미스 네트워크에서 리소스에 액세스하려면 NAT IP를 사용합니다. ExpressRoute를 온-프레미스에서 Azure로 연결하는 데 사용하는 경우 ExpressRoute에서 사용하는 NAT IP 주소를 식별해야 합니다. 기본적으로 각 회로에서는 2개의 NAT IP 주소를 사용하여 Azure 백본 네트워크에 연결합니다. 그런 다음, 이러한 IP 주소를 Azure Storage와 같은 Azure 서비스 리소스의 IP 방화벽 구성에 추가해야 합니다.
다음 다이어그램에서는 온-프레미스 디바이스에서 Azure Storage 리소스에 액세스할 수 있도록 서비스 엔드포인트 및 방화벽 구성을 사용하는 방법을 보여 줍니다.
